La déclaration à la CNIL - Annexe 4 : Documents à fournir à la DGI

4. Annexe 4 : Documents à fournir à la DGI

4.1 La déclaration à la CNIL

La loi « Informatique et Libertés » du 6 janvier 1978 modifiée par la loi du 6 août 2004 encadre la mise en œuvre des fichiers ou des traitements de données à caractère personnel qu’ils soient automatisés ou manuels. A l’exception du fichier FANTOIR, les fichiers fonciers contiennent des informations à caractère personnel et relèvent de cette loi.

La CNIL considère comme traitements de données la collecte, l’enregistrement, l’utilisation la transmission ou la communication d’informations personnelles ainsi que toute exploitation de fichiers ou bases de données, et notamment des interconnexions.

Tous les traitements des données foncières, sans exception, doivent être déclarés à la CNIL. Aucune dispense de déclaration n’est prévue par la CNIL.

Le choix de la déclaration à effectuer dépend de l’organisme qui met en œuvre le fichier ou le traitement, de la finalité de ce fichier ou de ce traitement et des données personnelles utilisées. En pratique la CNIL propose deux types de formulaires :

• Les déclarations simplifiées ou déclarations de conformité : ce sont des formu-laires allégés qui permettent de certifier qu’un fichier ou un traitement de don-nées personnelles est conforme à un modèle déjà défini par une décision de la CNIL. Elles sont de trois types :

o la déclaration de conformité à une norme simplifiée, o la déclaration de conformité à une autorisation unique, o la déclaration de conformité à un acte réglementaire unique.

• La déclaration normale : Le régime de droit commun est la déclaration normale, lorsque le fichier ne relève pas d’une procédure particulière. C’est le formulaire à utiliser dans tous les cas, y compris pour les demandes d’autorisation applica-bles aux fichiers sensiapplica-bles ou à risques. En cas de doute sur le régime déclaratif dont relève le traitement, il suffit de remplir un formulaire de déclaration nor-male : la CNIL se chargera de qualifier le dossier et de contacter le déclarant.

• Les formalités particulières : Certains traitements peuvent relever d’un régime d’autorisation ou de demande d’avis. Il s’agit de régimes plus protecteurs qui s’appliquent aux fichiers considérés comme sensibles ou comportant des risques pour la vie privée ou les libertés.

Selon la finalité des traitements qui seront réalisés et du maître d'ouvrage, les fichiers fonciers peuvent faire l’objet de différentes déclaration, nous avons recensé les suivantes (liste probablement non exhaustive) :

• D’une déclaration de conformité à l’autorisation unique n° 1 (AU-001).

• D’une déclaration de conformité à la norme simplifiée n° 46 relative aux trai-tements automatisés à caractère statistique effectués à partir de documents ou de fichiers de gestion contenant des informations nominatives sur les personnes physiques, par les services producteurs d'informations statistiques au sens du décret 84-628 du 17.4.1984

• D’une déclaration normale pour les traitements qui ne relèvent pas des précé-dents et qui ne prévoient d’interconnexion ou mise en relation des fichiers

fon-ciers avec d’autres fichiers [à caractère personnel] qui correspondent à des inté-rêts publics différents.

• Ou encore, d’une autorisation pour les traitements qui procèdent à l’interconnexion de fichiers dont les finalités correspondent à des intérêts pu-blics différents.

Dans tous les cas, la désignation d’un correspondant « informatique et libertés » dispense l’organisme concerné de devoir accomplir les formalités relatives aux traitements relevant de la déclaration simplifiée et de la déclaration normale. Le correspondant est alors en charge d’instruire les dossiers. Pour prendre en compte cette disposition, le bureau F1 de la DGI a récemment rédigé un nouvel acte d’engagement pour permettre au demandeur des fichiers de mentionner sur ce document un correspondant informatique et libertés et de s'affranchir ainsi de toute déclaration préalable de traitement à la CNIL. La mise en œuvre de ce nouvel acte d’engagement sera prochainement effectif.

A titre d’information, le MEDAD n’a pas nommé de correspondant « informatique et libertés ».

Le site www.cnil.fr fournit une information abondante sur les procédures déclaratives et les simplifiées, autorisations uniques, dispenses et recommandations. Nous recommandons vivement les lecteurs de ce guide de le consulter en cas de doute.

Il n’est pas possible de transposer le contenu d’une délibération CNIL. Les normes simplifiées et les autorisations uniques doivent être interprétées de manière stricte. En cas de doute, la CNIL peut procéder à un audit de conformité d’une demande à la norme simplifiée.

4.1.1 Déclaration de conformité à l’autorisation unique n°1 Cette déclaration peut être établie par les collectivités et leurs groupements.

C’est la formalité la plus répandue parmi les utilisateurs enquêtés, puisqu’elle autorise l’intégration des données foncières dans un SIG avec d’autres données d’urbanisme, les finalités des traitements autorisés couvrent un champ très large, les diffusions sont autorisées aux organismes compétents (communes d’un EPCI, organismes extérieurs), la sous-traitance est autorisée et peut être déclarée.

Cette autorisation est suffisante pour la mise en œuvre de la plupart des usages décrits dans ce guide, à condition de respecter les contraintes qui suivent.

A notre sens, les deux contraintes majeures de cette autorisation unique au regard des usages que l’on a répertorié sont les suivantes :

• La durée de conservation des données prévue dans l’autorisation unique est de une année²⁰. L’organisme qui souhaiterait bénéficier d’une durée de conserva-tion supérieure, par exemple pour mettre en place un observatoire, choisira

20 Les informations cadastrales sont mises à jour chaque année à partir de la documentation ca-dastrale tenue par l'administration fiscale. Seul le support de la version de la matrice caca-dastrale de l’année précédente peut être conservé. Les supports des versions antérieures doivent être détruits, un procès-verbal étant dressé à cet effet.

tôt de faire une déclaration normale, qui permet de définir la durée de conserva-tion pertinente.

• L’interconnexion, le rapprochement ou toute autre forme de mise en relation des données foncières avec d’autres traitements (c'est à dire, avec d’autres don-nées à caractère personnel) ne sont pas autorisés. L’organisme qui le souhaite-rait, par exemple pour identifier les résidences secondaires par croisement du fi-chier des propriétés bâties avec les rôles de TH ou TF, choisira plutôt de faire une demande d’autorisation (cf. plus loin).

La déclaration peut- être faite en ligne

• sur le site www.cnil.fr→ Rubrique Déclarer → téléprocédures

• ou en format papier à l’aide du formulaire disponible en annexe. La CNIL pré-vient sur son site que si la déclaration est envoyée au format papier, le délai moyen d'instruction est substantiellement rallongé.

Pour aller plus loin :

• Les critères d’éligibilité d’un traitement à cette déclaration sont précisés dans la délibération CNIL n° 2006-257 du 05 décembre 2006, modifié le 10 juillet 2007, portant Autorisation Unique n° AU-001, fournie en annexe.

• Le formulaire de déclaration est fourni également en annexe.

4.1.2 Déclaration de conformité à l’autorisation unique n°26

Cette norme simplifiée du 1er décembre 1984 concerne les traitements automatisés à caractère statistique effectués à partir de documents ou de fichiers de gestion contenant des informations nominatives sur les personnes physiques, par les services producteurs d'informations statistiques au sens du décret 84-628 du 17.4.1984

La CNIL précise qu’il s’agit des traitements exclusivement effectués dans le cadre de la concertation au sein du Conseil National de l'Information Statistique ou pour le compte des services producteurs d'informations statistiques (art. 2 al. 1 du décret n° 84-628 du 17.4.1984)

Cette démarche déclarative est accessible aux services producteurs d'informations statistiques (la précédente était réservée uniquement aux collectivités et leurs groupements).

Nous avons eu connaissance d’une autorisation accordé par la CNIL à une agence d’urbanisme pour la délivrance en tant que tiers habilité et l’utilisation des fichiers fonciers selon les dispositions de cette norme simplifiée.

La délibération est téléchargeable en ligne sur www.cnil.fr.

4.1.3 La déclaration normale

C’est la procédure courante en dehors des déclarations de conformité, notamment pour les organismes autres que les collectivités, comme par exemple les services de l’Etat et les agences d’urbanisme.

C’est la procédure conseillée dans le cas où le demandeur souhaiterait obtenir des conditions différentes de celles de l’autorisation unique, comme par exemple obtenir

une durée de conservation plus longue ou enregistrer d’autres données (tant qu’il ne s’agit pas de données à caractère personnel, ce qui relève de l’autorisation).

Elle exclue l’interconnexion, le rapprochement ou toute autre forme de mise en relation des données foncières avec d’autres traitements de fichiers à caractère personnel.

Il existe un formulaire de déclaration normale, dans lequel le déclarant doit préciser :

• S’il est différent du déclarant, le service ou organisme chargé de la mise en œu-vre du traitement, c'est à dire, chargé de l’exploitation informatique du traite-ment. C’est ici que l’on déclare les sous-traitants ou des organismes chargés des traitements pour le compte du maître d'ouvrage (agence d’urbanisme, CETE) ;

• S’il est différent du déclarant, le service ou organisme chargé du droit d’accès, c'est à dire, celui qui est habilité à répondre aux demandes d’accès à l’information;

• Le traitement déclaré : finalité, l’objectif, le nom du logiciel utilisé, la popula-tion concernée, l’année de mise en œuvre ;

• La présentation du besoin et de la finalité du traitement peut être rédigée sur pa-pier libre, et peut être complétée par tout document utile.

• Les mesures de sécurité prises pour protéger l’accès aux données : contrôle d’accès à l’application informatique, protection du réseau des intrusions exté-rieures, protection des données elles-mêmes (anonymisation, chiffrement, etc.).

• C'est le demandeur qui propose et expose les moyens de protection qu'il envi-sage de mettre en place (ceux cités dans le formulaire de demande le sont à titre d’exemple et ne sont pas obligatoires). La CNIL juge si les mesures prises sont suffisantes au regarde des finalités du traitement et des destinataires et leur mode d'accès aux données.

• Les données traitées (la catégorie et le détail), leur origine et la durée de conservation souhaitée.

o Le détail des données foncières est donné dans la délibération de l’autorisation unique. Le déclarant peut repartir de cette présentation et peut s’en inspirer pour compléter les autres données fournies.

o La durée de conservation est ici proposée par le déclarant. Elle sera appré-ciée par la CNIL au regard du besoin et de l’utilisation des données. Le dé-clarant devra argumenter son besoin et la durée de conservation dans la ru-brique 6 relative à la finalité du traitement. Des durées de conservation sur support informatique de 10 ans ont été autorisées par la CNIL pour la mise en place d’un « observatoire de l’urbanisation et information foncières » (Délibération n° 2007-204 du 10 juillet 2007 de la CNIL et exemple de dé-claration normale en annexe).

• Les destinataires, c'est à dire, les personnes habilitées à en obtenir communica-tion en raison de leurs fonccommunica-tions. Pour exemple, il est possible de consulter les destinataires prévus dans l’autorisation unique.

• Les mesures prises pour informer les intéressés de leurs droits. Dans le cas qui nous occupe, il s’agit d’un acte réglementaire exigé par la DGI (dans ce même chapitre).

• Les moyens permettant d’exercer son droit d’accès.

Normalement, aucune annexe ne doit être joint à ce formulaire.

La déclaration peut- être faite en ligne

• sur le site www.cnil.fr → Rubrique Déclarer → téléprocédures

4.1.4 L’autorisation

Il s’agit d’une formalité particulière applicable aux traitements considérés comme sensibles ou comportant des risques pour la vie privée ou les libertés.

Les traitements des fichiers fonciers pourraient relever du régime de l’autorisation lorsque le demandeur souhaiterait les mettre en relation avec d’autres fichiers à caractère personnel. Cela pourrait être le cas d’un croisement du fichier des propriétés bâties avec le fichier de rôles de la TH pour identifier les résidences secondaires par exemple.

Il n’existe pas de formulaire spécifique. Le formulaire à utiliser est celui de la déclaration normale, dans lequel en plus des rubriques précédentes le déclarant devra préciser :

• La rubrique relative aux échanges de données et à l’interconnexion de fichiers.

De plus il devra remplir les annexes « Echanges de données et Sécurité ».

Dans le cas d’une autorisation, la CNIL conseille de faire une déclaration normale au format papier (et non pas en ligne), de remplir les annexes et d’envoyer le dossier par la poste en recommandé avec accusé de réception. Il peut aussi être nécessaire de joindre au dossier d’autres documents (textes de loi, statuts d’association, des projets d’acte réglementaire…).

4.1.5 Pour aller plus loin

Pour aller plus loin sur ce sujet, nous conseillons de consulter les documents suivants disponibles sur le site de la CNIL :

• Collectivités locales et protection des données personnelles Guide pratique collectivités locales, CNIL

(http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/CNIL_Guide_CollLoc ales.pdf)

• Guide pratique Déclarer à la CNIL

Un fichier ou un traitement de données personnelles, CNIL, juillet 2006

http://www.cnil.fr/fileadmin/documents/declarer/mode_d-emploi/declarer-CNIL.pdf

• Tous les formulaires sont téléchargeables sur http://www.cnil.fr/index.php?id=2353&0=

4.2 Modèle de projet d’acte réglementaire destiné à

Dans le document Les fichiers fonciers standardsdélivrés par la DGI (Page 95-100)